Skip to main content
Nu hulp nodig bij een cyberincindent?
Bel 24/7: 088-2747800

VMware vCenter publieke PoC CVE-2021-21986

Door 8 december 2021 CERT, SOC, Kwetsbaarheid
VMware POC

Deze blog bevat informatie over een openbare PoC van VMware vCenter die mogelijk verband houdt met CVE-2021-21986 . Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details vind je onderaan deze blog.

Update 8 december 2021

14:00 | Op 1 december 2021 is een Proof-of-Concept exploit voor VMware vCenter gepubliceerd op GitHub door een gebruiker met de nickname l0ggg. De Proof-of-Concept exploit lijkt gebruik te maken van een unauthenticated arbitrary file read en een SSRF-kwetsbaarheid in VMware vCenter versie 7.0.2.00100 (update 2a).

Momenteel is de Proof-of-Concept exploit niet toegeschreven aan een specifieke CVE. In openbare discussies is gesuggereerd dat de exploit mogelijk gerelateerd is aan CVE-2021-21980 of CVE-2021-22049, zoals beschreven in VMware Advisory VMSA-2021-0027.

Op basis van onze analyse vermoeden we echter dat de exploit mogelijk verband houdt met CVE-2021-21986, zoals beschreven in VMware Advisory VMSA-2021-0010.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Potentieel risico

Met de Proof-of-Concept-exploit kan een niet-geauthentiseerde aanvaller willekeurige bestanden downloaden van de VMware vCenter server of toegang krijgen tot willekeurige websites via de VMware vCenter server.

Op basis van VMware Advisory VMSA-2021-0010, zijn de volgende versies kwetsbaar:

  • VMware vCenter ouder dan 7.0 U2b
  • VMware vCenter ouder dan 6.7 U3n
  • VMware vCenter ouder dan 6.5 U3p

Wat kunt u doen om mogelijke schade te beperken of voorkomen?

VMware heeft op 25 mei 2021 een patch uitgebracht, het is raadzaam de patch zo snel mogelijk te installeren. Wanneer het toepassen van de patch niet mogelijk is, is er een workaround beschikbaar in KB83829.

Daarnaast is het sterk aanbevolen om de toegang tot de VMware vCenter-webinterface te beperken en de service niet bloot te stellen aan het internet.

Detailinfo

De exploit beschrijft de volgende aanvalstechnieken:

  • Unauthenticated arbitrary file read – middels deze techniek kan een aanvaller willekeurige bestanden downloaden van de lokale schijf van het systeem. Op basis van onze analyse lijkt dit beperkt te zijn tot de gebruiker vsphere-ui die lid is van de groep users.
  • Unauthenticated server-side request forgery (SSRF) – middels deze techniek kan een aanvaller toegang krijgen tot webpagina’s of webportals vanaf de VMware vCenter-server. Dit kan leiden tot privilege-escalation of worden gebruikt voor lateral movement.
  • Unauthenticated cross-site scripting (XSS) – In combinatie met de SSRF-kwetsbaarheid kan een aanvaller toegang krijgen tot een webpagina die JavaScript-bestanden bevat, wat kan leiden tot een XSS-kwetsbaarheid.

We vermoeden dat deze exploit mogelijk verband houdt met CVE-2021-21986 op basis van de volgende observaties:

  • VMware vCenter versie 7.0.2.00100 (build 17920168 – update 2a) lijkt de laatste kwetsbare versie te zijn. Vanaf versie 7.0.2.00200 (build 17958471 – update 2b) werkt de Proof-of-Concept exploit niet meer.
  • Het toepassen van de tijdelijke oplossing, specifiek voor de plug-in “VMware Cloud Director Availability”, zoals beschreven in KB83829, voorkomt dat de Proof-of-Concept-exploit werkt.
  • CVE-2021-21986 beschrijft een kwetsbaarheid in het authenticatiemechanisme van specifieke plug-ins, waaronder de plug-in “VMware Cloud Director Availability”. De URL die wordt gebruikt in de Proof-of-Concept-exploit is gerelateerd aan de plug-in “VMware Cloud Director Availability”.
  • Zodra de patch of de tijdelijke oplossing is toegepast, werkt de Proof-of-Concept-exploit niet meer en wordt het bericht ‘HTTP Status 401 – Unauthorized’ geretourneerd door vCenter.

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu